LİNUX / UNİX İşletim Sistemlerini Tam Güvenli Hale Getirme Yolları

1.Console Security:
İç güvenlik olarak ta nitelendirilebilecek konsol güvenliği tamamen kurduğunuz sisteme bağlıdır.Eğer normal bir kullanıcı olarak Linux'u yüklediyseniz bu kısımda anlatılacak önlemlerin hepsini uygulamak zorunda değilsiniz. Fakat bir sistem yöneticisi iseniz biraz daha dikkatli olmanız gerekir. Bu kısımda anlatılanlar bizzat bilgisayarın başında yapabileceğiniz güvenlik önlemleridir


Linux a sistem yöneticisi (root) olarak girdiyseniz, makinenin başından ayrılırken mutlaka şifreli bir ekran koruyucusu devreye sokun. Aksi halde siz yokken birileri hoş olmayan sürprizlerde bulunabilir. Linux'u konsoldan kullanıyorsanız `vlock ` komutunu, X-windows altında ise herhangi bir şifreli ekran koruyucuyu çalıştırmanızı tavsiye ederim.

Çok gerekmedikçe sisteminize yeni kullanıcı eklemeyin.

Kullanıcılar için şifre belirledikten sonra kullanıcı bu şifreyle ilk kez sisteme girdiğinde mutlaka şifresini değiştirmesini sağlayın.

Kullanıcı şifrelerinin zayıflığı da çok önemlidir. Cracker'lerin genelde kullandığı şifre kırıcı programlar basit, tek kelimelik şifreleri kısa bir zamanda çözer.Bunun için sizde Cd'de gelen john the cracker programını kullanarak kullanıcılarınızın şifrelerinin ne denli zayıf olduğunu öğrenebilir ve değiştirmeleri için uyarıda bulanabilirsiniz.

Root kullanıcısının şifresini ayda bir mutlaka değiştirin.

Şifre seçerken isim, eşya adı kullanmak yerine iki bağımsız sözcüğü bir rakamla ya da sembolle birleştirmek crackerin işini bir hayli zorlaştırır.Örnek vermek gerekirse; saat5okul ya da kime5$verdin. Bunun gibi şifreleri kullanmak sisteminizi daha güvenli hale getirir. Önemli olan Crackerin şifreyi çözerek sisteme girmesi ihtimalini ortadan kaldırmaktır. Eğer sisteme giriş yaparsa bir de root yetkisini elde etmek için uğraşacaktır. Bunun için ilk güvenlik önlemi olan şifreleme çok önemlidir. Zaten hangi hırsız kapıyı açmadan kasadaki parayı götürebilir ki?

Şifreler ve Şifre Seçimi ;
Çok kullanıcılı işletim sistemlerinde kullanıcının kimliğinin belirlenmesi büyük önem taşır. Hem sistemi kullanmaya yetkisi olmayan kişilerin sisteme girmelerinin engellenmesi, hem de sistemdeki kullanıcıların birbirlerinden ayırt edilebilmeleri için, her kullanıcıya bir şifre verilir ve sisteme giriş başta olmak üzere tüm kritik işlemlerde kullanıcıya şifresi sorulur. Şifreler, diğer kullanıcı bilgileriyle birlikte,
Kod:
etc/passwd veya /etc/shadowdosyasında tutulur...

uygulamaların şifre dosyasının bazı alanlarına erişmeleri gerektiğinden şifre dosyası, sistemdeki bütün kullanıcılar tarafından okunabilecek bir dosya olmalıdır. Bu nedenle şifreler bu dosyaya açık halde değil, şifrelenerek yazılırlar

Gölgeli Şifreler (Shadow Pasword Suite)

Redhat 6x0 dan önceki tüm linux dağıtımlarında ön tanımlı olarak normal bir şifreleme metodu kullanılıyordu. Bu şifreleme metodu ise şifrelerinizi ayrı bir biçimde tekrar şifreleyerek (crypt) /etc/passwd altında saklar çünkü bazı programlar bu dosyayı kullanarak çalışır. Kötü yanı ise sistemdeki tüm kullanıcıların yetkisi ne kadar düşük de olsa bu dosyayı okuma hakkı olmasıdır. Her kullanıcının okuma hakkı olduğu zaman bu dosyayı kopyalayarak, içinde bulunan şifrelerin çözülmesi çok kolaydır.

Bu sorunu ortadan kaldırmak için sadece sistem yöneticisinin ve gerektiğinde sistemin bu dosyayı okuyabilme hakkı olması gerekliliği ortaya çıkmıştır. Gölge şifreler yani Shadow Password bu fikirden doğmuş bir metottur. Şifreler gene şifrelenerek /etc/shadow içinde adeta hapsedilir ve /etc/passwd dosyası altında şifre bırakılmaz. Böylece daha güvenli bir yapı kurmuş olursunuz. Redhat x.0 bu desteği kurulum aşamasında sizden onay alarak kullanıma açabiliyor. Eğer kurulum sırasında `use shadow passwords`'u seçmişseniz sorun yok; fakat, `bu da ne yahu?` diyerek bu opsiyonu es geçmişseniz çok geç değil.

Komut istemine "pwconv" komutunu yazmanızla gölgeli şifreleme yöntemini kullanmanız mümkün. Bu özelliği kaldırmak içinse `pwunconv` komutunu vermeniz yeterli. Bu komutları aklınızda tutmaktansa RedHat'ın bu avantajından hala faydalanabiliriz. Komut isteminde `setup` yazarak kurulum ve yönetim programına girip `Authentication configuration` seçeneğini seçerek karşınıza çıkan menüden `Use Shadow password’u seçerek de gölgeli şifreleme yöntemine geçebilirsiniz. Bu aşamada gözünüze bir şey daha takılacak "MD5 passwords".

LİNUX MD5 ŞİFRESİ;

Linux ta açılan kullanıcılar için verilecek şifrenin uzunluğu en fazla 8 karakter olabilir. Daha uzun yazsanız bile Linux sadece ilk 8 karakteri şifre olarak kabul edecektir.Bu da demek oluyor ki şifre en fazla 8 karakter olabiliyor ve şifrelerimizi çözmek isteyen biri için bu bir başlangıç noktası, ipucu niteliği taşıyor.

Bu ipucunu yok etmenin de bir yolu var tabi ki. Çözüm az önce merak ettiğimiz MD5 şifrelemesi. MD5 şifrelemesi sayesinde şifre uzunluğu 8 karakterden 256 karaktere kadar çıkarabiliyor. Bu da crackerin ömrünün bilgisayar başında geçirerek şifreyi kırmaya çalışacağı anlamına geliyor. Sistem şifrelerini korumak amacıyla mutlaka gölgeli şifreleme ve MD5 şifrelemesini Kullanın.

2. FİLE SECURİTY

Her dosyanın bir sahibi, bir de grubu vardır. Dosya üzerinde kimin hangi işlemleri yapabileceğine dosyanın sahibi olan kullanıcı karar verir. Erişim hakları, dosyanın sahibi, grubu ve diğerleri için ayrı ayrı belirtilir.


Kod:
-rwxr-x--- 1 uyar users 4030Dizinler için de aynı erişim hakları modeli geçerlidir. Bir dizin üzerindeki okuma izni, dizin altındaki programların listesinin alınıp alınamayacağını, yazma izni dizinde yeni bir dosya yaratılıp yaratılamayacağını, çalıştırma izni de o dizine geçilip geçilemeyeceğini belirler. Yetkili kullanıcının (root) bütün dosyalar ve dizinler üzerinde (birkaç sistem dosyası ve dizini haricinde) bütün işlemleri yapma yetkisi vardır
Tehlike;

İşletim sisteminde ya da uygulama programlarında bir hata olmadığı sürece erişim izni olmayanlar dosyayı zaten okuyamayacaklardır. Asıl tehlike, yetkili kullanıcının yetkisini kötüye kullanarak kullanıcıların kişisel dosyalarını ve mektuplarını okumasıdır. Her şeye yetkisi olan bir kullanıcı, sistemin kararlılığını korumak için gerekli olmakla birlikte, güvenliği ve özel bilgilerin gizliliğini bir kişinin ahlakına bırakması açısından Linux (ve Unix) işletim sisteminin güvenliğinin en zayıf noktalarından biri olarak değerlendirilmektedir.

Saldırgan, sisteme girince, hem sonraki girişlerini kolaylaştırmak, hem de daha rahat çalışabilmek için bazı sistem dosyalarını ya da programlarını değiştirebilir. Örneğin, şifre dosyasına bir kayıt ekleyerek kendine yetkili bir kullanıcı yaratabilir. Kullanıcıların şifrelerini öğrenmek için login, passwd gibi programları değiştirebilir


Müdahele ve Baştan Önlemler;

Şifre güvenliği sağlandığı sürece dosya erişimlerinde fazla bir güvenlik sorunu olmayacaktır. Bu konuda sistem sorumlusuna düşen, kullanıcılarını erişim haklarını nasıl düzenleyecekleri konusunda bilgilendirmektir.

Şifre dosyası gibi metin dosyalarında değişiklik olup olmadığı gözle inceleme yaparak ya da basit komut satırı programları kullanarak bulunabilir. Çalıştırılabilir dosyalar gözle kontrol edilemeyeceğinden en uygun yöntem, dosya imzaları oluşturarak sağlam olduğu bilinen imzalarla yeni hesaplanan imzaları karşılaştırmaktır. Tripwire paketi, dosyalarda yapılan değişiklikleri fark etmekte sistem sorumlusuna ve kullanıcılara yardımcı olur. Önce sağlam olduğu bilinen dosyaların dosya imzaları oluşturularak bir yerde saklanır. Sonraki çalıştırmalarda imzalar yeniden hesaplanarak eskileriyle karşılaştırılır ve farklı olanlar varsa bildirilir. Düzgün çalışma için özgün imzaların iyi korunması, mümkünse, üstüne yazılamayan bir ortamda saklanması gerekir.


3.GEREKSİZ AÇIK PORTLARIN KAPATILMASI

Bilgisayarınızın aslında internete açılmak ve çeşitli internet uygulamalarını (ftp,telnet,irc , .. vs ) çalıştırmak için bu işlemlere karşılık gelen portları kullandığını biliyor muydunuz? Portlar herhangi bir internet uygulamasının haberleşme için kullandığı sanal çıkış noktalarıdır.Her uygulamaya özgü bir port vardır ve diğer hiçbir uygulama başka uygulamaya ait porttan bilgi giriş ve çıkışı yapamaz. Bir an için portların gerçekten bilgisayarın içinde olduğu düşünecek olursak, üzerinde bir çok farklı boyutlarda açılmış delik bulunan bir tabla hayal edelim. Bu delikler portlarımız olsun. Her biri farklı boyutlarda olduğu için birine ait bir çomak diğerine asla tam olarak yerleşemez; ya dar gelir ya da bol.portların mantığı da aynen bu örnekteki gibidir


Ayrıca sisteminizin verdiği servisler doğrultusunda kullandığı portları dinleyerek açık olup olmadığını tespit eden programlar vardır. Bu programlar sayesinde sisteminiz hakkında bilgi edinen bir hackerin içeri giriş noktalarını kapatmak en akıllıca çözüm olur.
RedHat'ı eğer sunucu olarak kurduysak açılışta , önceden seçilmiş servisleri çalıştırır (web sunucusu, dns sunucusu gibi). Bu sunucularında tabi ki belli portları vardır fakat artık bir sunucunun görevine son vermek istiyorsak bunu nasıl yaparız? Önceki bölümlerde anlatılan `SETUP` uygulaması bize yine bu aşamada da yardımcı oluyor. Setup komutunu vererek bu uygulamayı başlatıp "services" seçeneğine girersek bazı servisleri için başlatma/kapatma seçimini rahatlıkla yapabiliriz.

Peki telnet ya da ftp servislerini kapatmak için ne yaparız? Linux tüm internet uygulamalarına ait görevi inetd'ye yani internet deamon denilen "internet canavarına" vermiştir. Bu canavar /etc/inetd.conf adlı konfig dosyasında belirtilen tüm portları dinleyerek, gelen istemlere karşılık gelen servisi yerine getirir. İşte bu konfig dosyasını değiştirerek sürdürülen servisleri kapatmak mümkün. Örnekte bu dosyadan alınan bir kısım görülüyor


Kod:
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetdBuradan ftp ve telnet hizmetlerinin verildiğini anlıyoruz. Eğer bu hizmetleri kapatmak istersek, istenmeyen hizmetin yazdığı satırın başına `#` işaretini koymamız yeterli olur. Bu işaret aslında bu satırın yorum satırı olduğunu belirterek inetd'nin bu işlemleri görmesini engeller.


Kod:
#ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -a

#telnet stream tcp nowait root /usr/sbin/tcpd in.telnetdArtık size telnet'le ulaşmaya çalışan istemciye bu servisin verilmediği ve bağlantının kesildiği bildirilir. Kullanmadığınız servisleri bu şekilde kapatmanız sizi daha güvenli bir sisteme götürür. Eğer verilen servislerin hangi portlardan gerçekleştiğini görmek ve kapatmak istiyorsanız aynı yöntemle /etc/services dosyasıyla da oynayabilirsiniz. Kapatılan servislerin tekrar açılması için satır başlarına konan `#` işaretlerinin kaldırılması ve inetd'nin kapatılarak tekrar çalıştırılması gerekir. Bunun için yazılacak komut aşağıda belirtilmiştir.

Kod:
#killall -HUP inetd